Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monatlicher Passwortwechsel

Frage Microsoft Windows Server

Mitglied: 1stone

1stone (Level 1) - Jetzt verbinden

18.12.2012 um 11:10 Uhr, 4517 Aufrufe, 13 Kommentare

Ich administriere Rechner in 5 verscheidenen Domains. Alle 30 Tage muss das Password meines Admin-Accounts geändert werden, wobei ich weder DomainAdmin, noch EnterpriseAdmin bin. Mein Admin-Account wird bloss auf jenen Rechnern über eine globale Gruppe auf jenen Servern in die LocalAdmins eingetragen, welche ich zu betreuen habe.
Da ich Domainübergreifend per Script Daten verteilen muss, ist mein Password natürlich auch auf diversen im “Windows Credential Manager” für etliche Shares hinterlegt.

Ich bin auf der Suche, wie ich den Passwordwechsel so automatisieren kann, dass dies mit vernünftigem Aufwand zu realisieren ist. Am liebsten wäre es mir, wenn ich von meinem Admin-Client aus alle Domainpasswörter auf einmal ändern könnte und auf den betroffenen Rechnern ebenfalls die “Windows Credential Manager” entsprechend geändert würden. Ich nehme an, dass es dafür keine Lösung gibt; aber mir wäre schon geholfen, wenn im “Windows Credential Manager” alle Einträge mit <Domain>\<User> mit dem geänderten Password aktualisiert würden.

Ich nehme an, dass ich nicht der Einzige bin, welcher auf der Suche nach einer Lösung ist.

Wenn jemand weiss, wie mein Anliegen umzusetzen ist, dann wäre ich sehr dankbar und hätte wieder mehr Zeit zum Administrieren, statt Passwörter zu wechseln.

Besten Dank für alle Tipps.
Mitglied: TobiTobsen
18.12.2012 um 11:22 Uhr
Auf die Schnelle würde ich sagen: Lass dich zum DomainAdmin machen! Wenn die Server sowieso alle in einer Domain sind, macht es für mich nicht so viel Sinn einen Admin in die lokale Admingruppe aufzunehmen.
Bitte warten ..
Mitglied: LordXearo
18.12.2012 um 11:28 Uhr
Hoi,

die Credentials für Shares bzw. das mappen von benötigten Netzlaufwerken lassen sich mit GPOs speichern/verbinden.
Aber da hast du wohl keinen Zugriff drauf.

Viele Grüße

Xearo
Bitte warten ..
Mitglied: 1stone
18.12.2012 um 11:30 Uhr
Hallo Tobi.

Besten Dank für Deine Antwort.

Ich arbeite in 5 verschiedenen Domains (LABOR, SYST, INTG, DMZ und PROD).

Sicher wäre es das Einfachste, wenn ich DomainAdmin wäre, wäre da nicht unsere interne Revision, welche keine DomainAdmins mehr duldet, ausser für die beiden AD-Verantwortlichen. Wegen denen musste ich den DomainAdmin abgeben - Vorher hatte ich diese Knochenarbeit ja nicht...

(Als AV-Verantwortlicher bin ich dafür nun nahezu auf allen Rechnern in den LocalAdmins)
Bitte warten ..
Mitglied: 1stone
18.12.2012 um 11:31 Uhr
Hallo Lord.

Richtig, da habe ich auch keinen Zugriff
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012, aktualisiert um 13:07 Uhr
Moin.

Ich verstehe noch nicht, was das Problem ist.
Du hast verschiedene (sich vertrauende?) Domänen und ein Domänenkonto, das auf vielen PCs in der lokalen Admingruppe ist. Änderst Du das Kennwort, so kannst Du damit doch überall handeln - wo liegt das Problem? Auch beim Verteilen von Dateien brauchst Du doch nicht die lokalen Credential-Manager, wenn Du eh Admin auf den Maschinen bist.

Erklär das bitte eindeutiger, Du siehst, dass ich nicht begriffen habe, worum es geht.

Nebenbei: Du hast keine verwendeten Betriebssysteme genannt, hol das noch nach.
Bitte warten ..
Mitglied: 1stone
18.12.2012, aktualisiert um 13:48 Uhr
Hi Wissender.

Nein, die Domains sind isoliert (macht ja keinen Sinn, zwischen Labor, ..., Prod Trusts einzurichten). Ich habe also 5 Domainusers, welche auf vielen Servern und allen Clients in der lokalen Admingruppe (über globale Gruppen) eingetragen sind.

Wenn aus der Domain1 Dateien auf zig Server in der Domain2 kopieren muss, dann mape ich die Laufwerke mit "/PERSISTENT:YES". Das heisst, dass ich zig Einträge im "Windows Credential Manager" (Anmeldeinformationsverwaltung oder Windows-Tresor) mit Domain2\User habe. Wenn ich in der Domain2 das Password ändern muss, dann habe ich zig falsch Passwörter im "Windows Credential Manager". Wenn ich da mein Kopierscript starte, dann ist mein Account nach dem 3. Server gelocked und ich darf beim AD-Admin nachfragen, ob er so gütig wäre, den Hacken bei "locked out" wieder zu entfernen.

Momentan muss ich im "Windows Credential Manager" jeden einzelnen Eintrag anklicken, auf "Bearbeiten" drücken, das neue Kennwort eintippen und danach auf Speichern drücken. Das jeden Monat für eine Liste mit gut 200 Einträgen (da sind ja auch noch die TERMSRV-Einträge)... Und das möglichst, ohne zu vertippen.

...Manuell kann man das ja machen, also müsste es irgendwie eine API geben, über welche man dies automatisieren könnte? Das alte Passwort müsste ich dabei ja nicht einmal kennen.

Ich bin sicher, dass ich nicht der Einzige auf diesem Planeten bin, der diesen Task automatisieren möchte. Das Programm/Script/Powershell/... müsste jeden Eintrag lesen und wenn unter Username steht Domain1\User, das Password anpassen. Mir scheint das jedenfalls nicht sooo unmöglich zu sein.

Im Einsatz stehen (Windows XP, Windows Server 2003,) Windows Server 2008 32/64 Bit, Windows Server 2008 R2, Windows 7 32/64 Bit.
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012, aktualisiert um 14:38 Uhr
Ok, schon klarer

Der Credentialmanager ist bei mir auch voll mit TERMSRV\...-Einträgen - MEINE Erfahrung: ändere ich das Kennwort bei einem, wird es bei allen anderen für dieses Konto automatisch angepasst! Wir verwenden hier Vista als Client. Teste es bitte mit TERMSRV und danach mit den Freigaben und schau, ob es bei Dir auf Vista geht oder nicht und ob es einen Unterschied zwischen TERMSRV und den Freigaben gibt.
Bitte warten ..
Mitglied: 1stone
18.12.2012 um 16:44 Uhr
Hi Wissender.

Ich habe probehalber für je einen Eintrag das Password im Windows-Tresor geändert:

Windows-Anmeldeinformation: Wurde nicht vererbt (der geänderte meldet "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.", die ungeänderten funktionieren weiter.

TERMSRV reagiert ähnlich

(von meinem Win 7 Client aus getestet)
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012 um 18:56 Uhr
Du machst auch nicht das selbe. Du änderst ja auf ein falsches Kennwort (sonst würden die anderen wohl kaum noch funktionieren).
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012 um 20:56 Uhr
Korrektur: Was ich gemacht habe, war etwas anders, ich habe nicht über den Passwortmanager, sondern schlicht über erneute Einspeicherung des Kennwortes in die RDP-Verbindung erreicht, dass das neue Kennwort für alle RDP-Verbindungen, die zuvor gespeichert waren und mit diesem Konto liefen, verwendet wurde - aber das lost Dein Problem ja ebenso. Denke mal, dass es für Freigaben gleich ist, geh also testhalber einfach nicht über den Kennwortmmanager.
Bitte warten ..
Mitglied: 1stone
19.12.2012 um 07:52 Uhr
Das mit den TERMSRV schmerzt mich ja nicht so sehr. Wenn ich aber das Kopierscript starte, welches Dateien auf 20 Server der Aussenstellen verteilt, dann erhalte ich bei jedem Server "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort." und nach dem 3. Server ist mein Account gelocked.
Wenn das Kopierscript bei jedem Server nach dem Password fragen würde, dann könnte ich es ja ebensogut manuell machen.

Ich möchte einfach den Passwordwechsel im Windows-Tresor so automatisieren, dass ich nicht jeden einzelnen Eintrag bearbeiten muss, sondern dass alle Einträge mit Domain2\User auf einmal angepasst werden (wenn ich dabei auch gleich die TERMSRV-Passwörter ändern könnte, dann wäre ich auch nicht traurig).

Dass die ganze Sache scriptbar ist, habe ich z.B. unter http://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... gefunden; aber ich will ja nicht die Passwörter auslesen, sondern bestimmte (Domain2\User) Einträge ändern.
Bitte warten ..
Mitglied: DerWoWusste
19.12.2012 um 11:50 Uhr
Befolg meinen Tipp doch mal.
Bitte warten ..
Mitglied: 1stone
19.12.2012 um 12:18 Uhr
...ich habe das Kopierscript angeworfen und musste danach den AD-Admin bitten, meinen Account wieder freizugeben.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(7)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst Projekt: Automatisierter Passwortwechsel aller administrativen Benutzerkonten (10)

Frage von Penetrator zum Thema Windows Server ...

Verschlüsselung & Zertifikate
Passwortwechsel per ldaps auf einer AD (2)

Frage von Rheno-Germania zum Thema Verschlüsselung & Zertifikate ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...